使用Cloudflare DMARC Management阻止品牌冒用

2021年末，Cloudflare推出了安全中心，一個匯集了我們的安全產(chǎn)品套件和獨特互聯(lián)網(wǎng)智能的統(tǒng)一解決方案。安全團隊只需點擊幾下，就能快速發(fā)現(xiàn)組織的潛在安全風(fēng)險和威脅，繪制攻擊面并緩解這些風(fēng)險。雖然安全中心最初專注于應(yīng)用程序安全，但我們現(xiàn)在增加了關(guān)鍵的Zero Trust洞察，進一步完善其功能。

如果您的品牌廣受歡迎和信任，客戶和潛在客戶會期待收到您發(fā)送的電子郵件?，F(xiàn)在，想象他們收到了您發(fā)送的電子郵件：其中有您的品牌，振奮人心的主題，還有注冊即可獲得獨特獎品的鏈接——他們怎么可能拒絕這樣的機會？

但是，如果這封電子郵件不是您發(fā)送的呢？如果點擊鏈接會了陷入騙局，導(dǎo)致他們被詐騙或身份被冒用，那將會怎樣？如果他們認為這是您設(shè)計的騙局呢？事實上，即便有安全意識有時也會上當受騙，無法識別精心制作的詐騙電子郵件。

這會給您的企業(yè)和聲譽帶來風(fēng)險。您不希望有這種風(fēng)險，任何人都不想。品牌冒用是全球組織都面臨的重大問題，這正是我們構(gòu)建DMARC Management的原因。DMARC Management測試版今天推出。

借助DMARC Management，您可以全面了解是誰以您的名義發(fā)送電子郵件。您可以一鍵批準每一個合法歸屬您的域名的發(fā)件人來源，然后設(shè)置DMARC策略，拒絕任何來自未批準客戶端的電子郵件。

如果是貴公司使用的調(diào)查平臺從您的域名發(fā)送電子郵件，不用擔(dān)心——這是您自己這樣配置的。但是，如果是遠方的未知郵件服務(wù)使用您的域名發(fā)送電子郵件，這就太可怕了，需要您去解決。下面，我們來看看如何解決。

防欺騙機制

發(fā)送方策略框架（SPF）、域名密鑰識別郵件（DKIM）和基于域名的郵件身份驗證報告和一致性（DMARC）是三種常見的身份驗證方法。它們共同幫助防止垃圾郵件發(fā)件人、網(wǎng)絡(luò)釣魚程序和其他未經(jīng)授權(quán)的各方代表并非屬于他們的域名發(fā)送電子郵件。

SPF是為域名列出公司發(fā)送電子郵件使用的所有服務(wù)器?？梢园阉胂蟪梢粋€公開的員工名錄，幫助確認某人是否為公司的員工。SPF記錄列出了可以從該域名發(fā)送電子郵件的所有服務(wù)器的IP地址。

1.DKIM讓域名所有者能夠自動“簽署”從其域名發(fā)送的電子郵件。DKIM使用公鑰加密：

2.DKIM記錄存儲了域名的公鑰，郵件服務(wù)器收到來自該域名的電子郵件時，可以查看此記錄獲取公鑰。

3.私鑰由發(fā)件人秘密保管，發(fā)件人用私鑰簽署電子郵件的標頭。

收到電子郵件的郵件服務(wù)器可以應(yīng)用公鑰來驗證發(fā)件人是否使用了私鑰。這也可保證電子郵件在傳輸過程中不會被篡改。

DMARC告訴接收電子郵件的服務(wù)器在評估SPF和DKIM結(jié)果后如何處理。一個域名的DMARC策略可以有多種設(shè)置方式——可以指示郵件服務(wù)器隔離、拒絕還是交付沒有通過SPF和/或DKIM驗證的電子郵件。

然而，配置和維護SPF和DMARC并非易事。如果您的配置太嚴格，合法電子郵件會被丟棄或標記為垃圾郵件。如果太寬松，您的域名可能會被詐騙電子郵件濫用。這些身份驗證機制（SPF/DKIM/DMARC）已存在超過十年，但是仍有五百多萬有效DMARC記錄便是證明。

DMARC報告可以提供幫助，DMARC Management等完整解決方案可以減少創(chuàng)建和維護適當配置的負擔(dān)。

DMARC報告

所有符合DMARC規(guī)則的郵箱提供商支持將DMARC聚合報告發(fā)送到您指定的電子郵件地址。這些報告列出從您的域名發(fā)送了電子郵件的服務(wù)，以及通過了DMARC、SPF和DKIM的郵件比例。這些報告非常重要，因為它們給管理員提供了所需信息來決定如何調(diào)整DMARC策略。例如，讓管理員了解他們的合法電子郵件是否通過了SPF和DKIM，或者是否有垃圾郵件發(fā)送者試圖發(fā)送非法電子郵件。

但請注意，您可能不希望將DMARC報告發(fā)送到人工監(jiān)控的電子郵件地址，因為報告又多又快——幾乎接收貴組織郵件的每個電子郵件提供商均會發(fā)送XML格式的報告。通常，管理員將報告設(shè)置為發(fā)送到DMARC Management等服務(wù)，并將它們歸納成更好理解的形式。注意：這些報告中不含個人可識別信息（PII）。

DMARC Management自動創(chuàng)建接收這些報告的電子郵件地址，向您的Cloudflare DNS添加相應(yīng)的RUA記錄，通知郵件提供商將報告發(fā)送到哪里。您要是好奇的話，我可以告訴您，這些電子郵件地址是使用Cloudflare電子郵件路由創(chuàng)建的。

注意：現(xiàn)在，Cloudflare DNS是DMARC Management的必要條件。Cloudflare Area 1客戶很快也能查看DMARC報告，哪怕他們使用的是第三方DNS服務(wù)。

這個專用電子郵件地址收到報告后，一個Worker將處理報告，從中提取相關(guān)數(shù)據(jù)，然后發(fā)送到我們的分析解決方案。您可能又猜到了，這是使用Email Workers實現(xiàn)的。

采取行動

現(xiàn)在，報告發(fā)送過來了，您可以審查數(shù)據(jù)，然后采取操作。

注意：郵箱提供商可能需要24小時才能開始發(fā)送報告，向您提供這些分析。

除了DMARC Management外，您還可以全面了解域名的出站安全性配置，更具體地說，是DMARC、DKIM和SPF。DMARC Management很快也會開始報告出站電子郵件安全性，包括STARTTLS、MTA-STS、DANE和TLS報告。

中間部分顯示電子郵件數(shù)量趨勢，各行分別顯示通過和未通過DMARC的郵件。

下面將顯示其他詳細信息，包括每個來源（每個DMARC報告）發(fā)送的電子郵件消息數(shù)量，以及相應(yīng)的DMARC、SPF和DKIM統(tǒng)計數(shù)據(jù)。您可以點擊“...”批準（即納入SPF）其中任何來源，可以輕松發(fā)現(xiàn)DKIM配置可能不正確的應(yīng)用程序。

點擊任何來源都會顯示該來源每個IP地址的相同DMARC、SPF和DKIM統(tǒng)計數(shù)據(jù)。例如，通過這種方式，可以確定可能需要納入SPF記錄中的其他IP地址。

未通過的郵件需要您采取操作：如果合法，則需要批準（即納入SPF）；如果DMARC策略配置為p=reject，則保持未批準狀態(tài)，然后接收服務(wù)器會拒絕該郵件。

目標是使用DMARC拒絕策略，但您不希望應(yīng)用這一限制策略，除非您確信SPF（和DKIM，如適用）考慮了所有合法發(fā)送服務(wù)。這可能需要幾周時間，具體取決于從您的域名發(fā)送消息的服務(wù)數(shù)量，但DMARC Management可讓您在準備行動時迅速掌握。

還需要什么

一旦批準所有授權(quán)電子郵件發(fā)件人（來源），并將DMARC配置為隔離或拒絕，您應(yīng)該相信您的品牌和組織會更安全。此后，關(guān)注批準來源列表的工作量非常小，您的團隊每月只需花費幾分鐘即可。理想情況下，在公司部署從您的域名發(fā)送電子郵件的新應(yīng)用程序時，您應(yīng)該主動將相應(yīng)的IP地址添加到您的SPF記錄中。

但即使沒有這樣做，您也可在安全中心的“安全性洞察”（Security Insights）選項卡下看到新的未批準發(fā)件人通知，以及其他您可以查看和管理的重要安全問題。

或者，您可以每隔幾周在DMARC Management中檢查未批準列表。

看到未批準的合法發(fā)件人來源時，您知道該怎么做——點擊“...”，然后標記為已批準！

敬請期待

DMARC Management將電子郵件安全性提升到一個新高度，但這只是開始。

我們很高興為大家展示這些功能投資，它們將為客戶提供更多的安全洞察。接下來，我們準備將Cloudflare云訪問安全代理（CASB）的安全性分析集成到安全中心。

此產(chǎn)品集成將幫助客戶快速了解更多范圍的SaaS安全性狀態(tài)。按嚴重性、SaaS集成運行狀況和隱蔽問題數(shù)量顯示CASB調(diào)查結(jié)果（或在熱門SaaS應(yīng)用程序中發(fā)現(xiàn)的安全問題）明細，IT和安全管理員將能從單一來源了解更大的安全面區(qū)域狀態(tài)。

敬請關(guān)注安全中心CASB的更多新聞。同時，您今天就可以加入免費DMARC Management測試版的等候列表。您也可以了解Cloudflare Area 1并預(yù)約一次網(wǎng)絡(luò)釣魚風(fēng)險評估，以阻止網(wǎng)絡(luò)釣魚、詐騙和垃圾電子郵件進入您的環(huán)境。